4 Oracle Label Securityスタート・ガイド

Oracle Label Securityを使用する前に、データベースに登録し、LBACSYS Oracle Label Securityアカウントを有効にする必要があります。

内容は次のとおりです。

Oracle DatabaseでのOracle Label Securityの登録

使用する予定のデータベースにOracle Label Securityを登録する必要があります。

内容は次のとおりです。

Oracle Label Securityの登録について

Oracle Databaseをインストールする場合、デフォルトではOracle Label Securityは有効になっていません。

Oracle Label Securityをデータベースに登録する必要があります。その後、デフォルトのOracle Label Securityユーザー・アカウントLBACSYSを有効にする必要があります。Oracle Label Securityを登録した後で、必要に応じて無効化および再有効化できます。

マルチテナント環境を使用している場合は、Oracle Label Securityポリシーの作成を計画しているプラガブル・データベース(PDB)でのみOracle Label Securityを登録します。Oracle Label Securityはデータ・ディクショナリ・オブジェクトを保護するように設計されていないため、ルートではポリシーを保護できません。

Oracle Label Securityが登録されて有効になっているかどうかの確認

DBA_OLS_STATUSデータ・ディクショナリ・ビューを問い合せて、Oracle Label Securityがすでに登録され有効になっているかどうかを確認できます。

SYSDBA管理権限を持つユーザーSYSとして、データベース・インスタンスにログインします。
```
sqlplus sys as sysdba
Enter password: password
```
マルチテナント環境を使用している場合は、適切なPDBに接続します。
たとえば、PDB hrpdbに接続するには、次のようにします。
```
CONNECT SYS@hrpdb AS SYSDBA
Enter password: password
```
利用可能なPDBを検索するには、DBA_PDBSデータ・ディクショナリ・ビューを問い合せます。現在のPDBを確認するには、show con_nameコマンドを実行します。
Oracle Label Securityが登録されているかどうかを調べるには、次の問合せを実行します。
```
SELECT STATUS FROM DBA_OLS_STATUS WHERE NAME = 'OLS_CONFIGURE_STATUS';
```
TRUEと出力される場合、Oracle Label Securityは登録されています。出力がFALSEの場合は、Oracle Label Securityを登録する必要があります。
Oracle Label Securityが登録されている場合は、有効になっているかどうかを確認します。PARAMETER列では大/小文字が区別されるため、ここに示されているとおりに入力してください。
```
SELECT VALUE FROM V$OPTION WHERE PARAMETER = 'Oracle Label Security';
```
TRUEが返される場合、Oracle Label Securityは有効です。「LBACSYS Oracle Label Securityの有効化」に移動します。出力がFALSEの場合は、Oracle Label Securityを有効にする必要があります。

注意:

Oracle Label Securityが登録されている場合、それが有効になっている場合となっていない場合があります。V$OPTION動的ビューに問い合せて、有効になっているかどうかを調べることができます。

SQL*PlusからのOracle Label Securityの登録および有効化

SQL*PlusからOracle Label Securityの登録と有効化の両方を行うことができます。

SYSDBA管理権限を持つユーザーSYSとして、データベース・インスタンスにログインします。
次に例を示します。
```
sqlplus sys as sysdba
Enter password: password 
```
マルチテナント環境を使用している場合は、適切なPDBに接続します。
たとえば、PDB hrpdbに接続するには、次のようにします。
```
CONNECT SYS@hrpdb AS SYSDBA
Enter password: password
```
利用可能なPDBを検索するには、DBA_PDBSデータ・ディクショナリ・ビューを問い合せます。現在のPDBを確認するには、show con_nameコマンドを実行します。

次のように、Oracle Label Securityを登録して有効にします。

EXEC LBACSYS.CONFIGURE_OLS; -- This procedure registers Oracle Label Security.
EXEC LBACSYS.OLS_ENFORCEMENT.ENABLE_OLS; -- This procedure enables it.

SYSOPER権限を持つユーザーSYSとして接続します。

CONNECT SYS AS SYSOPER -- Or, CONNECT SYS@hrpdb AS SYSOPER
Enter password: password

データベースを再起動します。
次に例を示します。
```
SHUTDOWN IMMEDIATE
STARTUP
```

DBCAを使用したOracle Label Securityの登録および有効化

Database Configuration Assistantを使用してOracle Label Securityの登録と有効化の両方を行うことができます。

Database Configuration Assistant(DBCA)を開始します。
- UNIX: 次のコマンドを実行します。
```
$ORACLE_HOME/bin/dbca
```
- Windows: 「スタート」メニューから「すべてのプログラム」をクリックします。次に「Oracle - ORACLE_HOME」→「Configuration and Migration Tools」→「Database Configuration Assistant」の順にクリックします。
「ようこそ」画面が表示されます。
「次へ」をクリックします。
「操作」画面が表示されます。
「データベース・オプションの構成」を選択します。「次」をクリックします。
「データベース」画面が表示されます。
リストから、OLSを構成および有効化する必要のあるデータベースを選択します。「次」をクリックします。
「データベース・コンテンツ」画面が表示されます。
「Oracle Label Security」を選択します。「次」をクリックします。
「接続モード」画面が表示されます。
「専用サーバー・モード」または「共有サーバー・モード」を選択します。「終了」をクリックします。
操作にはデータベースの再起動が必要があることを知らせるダイアログ・ボックスが表示されます。
「OK」をクリックします。
「確認」ダイアログ・ボックスが表示されます。
「OK」をクリックします。
DBCAの進捗状況を示す画面が表示されます。
操作が完了すると、別の操作を実行するためのプロンプトが表示されます。「いいえ」をクリックしてDBCAを終了します。

LBACSYS Oracle Label Securityの有効化

登録プロセスの完了後、デフォルト・ユーザー・アカウントLBACSYSにLBAC_DBAデータベース・ロールが付与されます。このロールは、Oracle Label Securityの管理に必要な権限を提供します。

LBACSYSは、パスワードの期限が切れている、ロックされたアカウントとして作成されます。

ALTER USERシステム権限を付与されているユーザー(たとえば、SYSTEMユーザー)として、データベース・インスタンスにログインします。
次に例を示します。
```
sqlplus system -- Or, sqlplus system@hrpdb for the hrpdb pluggable database (PDB)
Enter password: password
```
Oracle Database Vaultが有効になっている場合は、DV_ACCTMGRロールを付与されたユーザーとしてログインします。
次の文を入力します。
```
ALTER USER LBACSYS ACCOUNT UNLOCK IDENTIFIED BY password;
```
passwordを安全なパスワードに置き換えます。パスワードを作成するための最小限の要件は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

LBACSYSをロック解除し、パスワードを指定します。このアカウントをバックアップ・ユーザー・アカウントとして予約することをお薦します。日常的な使用では、Oracle Label Securityを管理する信頼できるユーザーにLBAC_DBAデータベース・ロールを付与することを検討します。

Enterprise Manager Cloud Controlを使用してOracle Label Securityを管理することを計画している場合は、LBAC_DBAロールを付与したユーザーがSELECT ANY DICTIONARY権限も持っていることを確認します。デフォルトでは、LBACSYSユーザーにはすでにこの権限があります。

Oracle Label SecurityのためのCloud ControlまたはSQL*Plusへのログイン

Oracle Label Securityの登録および有効化プロセスが完了したら、使用を開始できます。

内容は次のとおりです。

Enterprise Manager Cloud ControlからのOracle Label Securityへのログイン

Enterprise Manager Cloud Controlから、Oracle Label Securityページを使用してOracle Label Securityポリシーを作成および管理します。

Oracle Label Securityで使用する予定のCloud Controlターゲット・データベースが構成されていることを確認します。
ターゲット・データベースの構成の詳細は、Oracle Enterprise Managerオンライン・ヘルプおよび『Oracle Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド』を参照してください。
ブラウザでCloud Controlのログイン・ページを開きます。
次に例を示します。
```
https://myserver.example.com:7799/em
```
SYSMANユーザーとしてCloud Controlにログインします。
Cloud Controlのホーム・ページで、「ターゲット」メニューから「データベース」を選択します。
「データベース」ページで、接続先のデータベースのリンクを選択します。
データベースのホームページが表示されます。
「セキュリティ」メニューで、「Label Security」を選択します。
「データベース・ログイン」ページが表示されます。
次の情報を入力します。
- ユーザー名: LBAC_DBAデータベース・ロールを付与されたユーザーのユーザー名を入力するか、LBACSYSと入力します。
- パスワード: パスワードを入力します。
- ロール: リストから「通常」を選択します。
- 別名保存: 次回このページが表示されるときに、これらの資格証明が自動入力されているようにするには、このチェック・ボックスを選択します。資格証明は、Enterprise Managerに安全な方法で格納されます。これらの資格証明へのアクセスは、現在ログインしているユーザーによって異なります。

SQL*PlusからのOracle Label Securityへのログイン

LBAC_DBAデータベース・ロールを付与されている場合、SQL*PlusからOracle Label Securityにログインできます。

SQL*PlusからOracle Label Securityを使用するには、ユーザーLBACSYSまたはLBAC_DBAデータベース・ロールを付与されたユーザーとして接続します。ユーザーがこのロールを付与されているかどうかを調べるには、DBA_ROLE_PRIVSデータ・ディクショナリ・ビューのGRANTEEおよびGRANTED_ROLE列を問い合せます。

次に例を示します。

sqlplus psmith_ols -- Or, sqlplus psmith_ols@hrpdb for a PDB named hrpdb
Enter password: password

利用可能なPDBを検索するには、DBA_PDBSデータ・ディクショナリ・ビューを問い合せます。現在のPDBを確認するには、show con_nameコマンドを実行します。